TechSummitのおさらい①：Azure ADで非SSLアプリとのSSOを構成する

こんにちは、富士榮です。

ようやく秋口からのセミナーラッシュが落ち着いてきたので、先日のTechSummitでお話しした非公開ネタを解説していきたいと思います。

内容的にマイクロソフトの公式イベントでお話しするにはあまりにも非サポートだったり、別の会社の製品との組み合わせを紹介しすぎたり、と大人の事情満載だったので当日は撮影禁止＆資料・動画公開なしとさせていただいたネタです。

当日お話しした内容は公開可のモノも含めると以下の通りです。

1. 非SSLな開発環境とSSOを構成したい！
2. SaaSアプリとのSSO時のトラブルシュートあれこれ
3. Azure AD Premiumは買えないけど複雑なことをやりたい
4. SaaSアプリへのプロビジョニングがちょっとアレな話
5. マルチフォレストのオンプレADとの同期すときのあれこれ
6. マルチフォレスト構成時のパスワード同期元/先を制御したい！

と、言うことで順番に解説していきたいと思います。

今回は1番目の「非SSLな開発環境とSSOを構成したい！」です。

Azure ADがSSOを構成するアプリはSSLじゃないとダメ！？

すでにAzure ADをお使いの方はご存知だと思いますが、Azure ADを使ったアプリとのSSOを構成するには、アプリをSSL化しておくことが前提となります。

この時に困るのが、開発環境をどうするか？という話です。もちろん余裕のある方は開発環境を含めてSSL化しておくことも可能でしょうし、最近はLet's Encryptなど無償の証明書を発行してくれる機関もあるので、こちらを活用して行くことも可能なのでニーズは減ってきていると思いますが、やはり面倒ということもあり何とか手軽に非SSLな開発環境でもSSOを構成していきたいところです。

※もちろん非SSLな環境を推奨している訳ではありませんので誤解なきよう。。。

非SSLなアプリを構成しようとすると何が起きるか？

先ほど、標準のAzure ADだとアプリのSSL化が前提となっている、という話をしましたが、具体的に何が起きるのか？を先に説明しておきます。

といっても単純にSAMLアプリの場合はAssertion Consumer Service（ACS）、OpenID Connectアプリの場合はReply URIを設定する際にhttpsスキーム以外だと怒られて設定が出来ない、というだけです。

ここで、考えるべきなのは

• このエラーはUI上でのValidationの問題なのか？
• それともデータを保存する際のValidationの問題なのか？

ということです。

個人的な経験からすると、Azure ADの構成情報の実体データは割りと素な状態でストアされており、管理者はPowerShellやAPI（そしてオマケとして管理ポータル）で設定を行うという構造になっていますので、今回についてもACS/ReplyURIの元データを何とかして修正できれば目標を達成できるはず、と考えました。

Azure ADにおけるアプリ登録情報の実体

ということで、管理ポータルの存在は一旦忘れて登録されたアプリケーションの構造を生データで見ていきましょう。

まずは一番単純な方法としてPowerShellを使います。※ここは時間の関係でTechSummitでもお話ししなかった部分です。

Azure Active Directory Module for Windows PowerShellを使いますので、インストールしていない人は「Install-Module -Name AzureAD」あたりで先にモジュールをインストールしておいてください。

取り敢えず「Connect-AzureAD」でAzure Active Directoryへ接続しましょう。

次に登録済みアプリケーションの情報を確認するために「Get-AzureADApplication」を実行します。

登録されているアプリがずらりと出てきます。

この中から、構成をしたいアプリケーションを見つけて、ObjectIDを指定して再度「Get-AzureADApplication」を実行して構成情報を確認します。この時、パイプでflをつけると細かいパラメータが見えます。

こんな感じです。

「Get-AzureADApplication -ObjectId xxxxx | fl」

その中にReplyUrlsというパラメータが見えます。

SAMLだろうがws-federationだろうがOAuthだろうがOpenID ConnectだろうがReplyUrlsです。潔すぎです。

この値がSAMLの場合はACSのURL、ws-federationの場合はwreply、OAuth/OpenID Connectの場合はReplyURIですね。

PowerShellを使って値を変えてみる

アプリの構成を取得するときに使ったのが「Get-AzureADApplication」なら構成を変更するときに使うのは「Set-AzureADApplication」です。

ただ、このReplyUrlsは配列で値が入るので、セットしたい値は配列としてセットします。PowerShellの場合は「@("値1","値2")」という形式が必要です。

ということで、

「Set-AzureADApplication -ObjectId {アプリのGUID} -ReplyUrls @("http://{ACSのURL}")」

をしてあげます。

以上、終了です。

先ほどと同様にGet-AzureADApplicationで確認するとちゃんとhttpスキームでReplyUrlsが登録されていることがわかります。もちろんデフォルトのhttpsを残したままhttpのモノを追加してもOKです。単純に配列に値を追加すれば良いだけですので。

結果、非SSLなアプリケーションへもSSO出来るようになりました。

管理ポータルでも構成が出来る

どうしてもPowerShellに抵抗がある人は手を挙げてください。

はい、実は管理ポータルでも構成変更が出来ます。

（こちらがTechSummit当日にご紹介した内容です）

やり方は登録されているアプリのマニフェストを直接編集します。

変更する内容はPowerShellの場合と同じく、ReplyUrlsの値です。

スライドにも書いてありますが、ここを変えても元々のエンタープライズアプリケーションのSSOの設定の表示が変わるわけではありません。

取り敢えず今回は一つ目の話を解説しました。

2つ目以降についても順次紹介していきたいと思いますので、しばしお待ちください。

Tech Summitでは久しぶりにエンタープライズID（主にAzure ADの裏技）の話をします

こんにちは、富士榮です。

11月～12月はイベントが立て込んでおり、準備が中々進まない今日この頃です。

こんな予定です。

• 11/2（金）CTCフォーラム2018@品川
• LINE@＋Azure AD B2Cで新卒採用業務を改善した話し。登録率6倍、ログイン率が2倍、とそれなりの結果が出たので、事例を中心にお話しします。
• 申込リンク（もう満席ですが・・・）
• https://www.ctcforum2018.com/
• 11/5（月）～7（水）Tech Summit 2018@プリンスタワー東京
• 細かくはこのポストの中で解説しますが、最近Azure AD B2Cづいていたので素のAzure ADの話を久しぶりにします。といっても正攻法は面白くないので、導入を決めた後に現場で起こるアレコレと裏技的な対応方法について解説します。
• 出番は7日（水）の昼（ランチセッション！）です。
• 申込リンク
• https://www.microsoft.com/ja-jp/events/techsummit/2018/session.aspx#PR14
• 11/19（月）大学ICT推進協議会（AXIES）　年次大会@北海道大学
• 大学へのAzure AD B2C + LINE@、Facebook導入の事例の発表です。この時期の北海道は寒そうだなぁ・・・
• 出番は19日（月）です。
• 申込リンク
• https://axies.jp/ja/conf/conf2018
• 11/20（火）～22（木）Consumer Identity World APAC 2018＠シンガポール
• 海外遠征です。だいぶ慣れてきた？とは思いますが英語が下手なのは相変わらずなので、もう少し練習します。前日まで北海道にいるので、AXIESの出番が終わったら、そのままシンガポールへ移動です・・・
• 内容はAzure AD B2C＋SNSを使ったBYOID（Bring Your Own Identity）の話で、European Identity & Cloud ConferenceやIdentiverseで話した内容＋最新のアップデートの予定です。ID on Blockchainを使ったパスワード撤廃みたいな話しやデモもやれるといいな、と思っています。
• 出番は21日（水）です。
• 申込リンク
• https://www.kuppingercole.com/events/ciwapac2018
• 12/3（月）ID&IT for Education@一橋
• ID&ITの教育機関向けバージョンです。私は慶應SFCの斉藤先生とBlockchain & BYOIDということで、ID on Blockchainの話をします。
• 申込リンク
• https://nosurrender.jp/idit2018/

というわけで、直近のTech Summitの内容を少し深めに。
タイトルは
「アンドキュメンテッドAzure AD
　～現場で遭遇する予期せぬ事態と対応～」
ということで、カタログ・スペックではわからないAzure ADの深い話をレベル200（初心者向け）に話すというよくわからないことになっています。（本当はレベル400/上級者向けのつもりだったんですが、色々と手違い？で蓋を開けたらレベル200になってました）

ちなみに、Azure AD Connectに無理をさせたり、Azure AD単体で出来ないことを他者製品と組み合わせたり、と裏技を中心に話す予定なので、録画、スライド公開はNGにする予定です。現場に来られた方だけにこっそりと、という感じです。
（というよりもMSのオフィシャルイベントで堂々と話せる内容じゃないだけです。おいおい本ブログで個別に紹介していくことは出来るネタもあるので、その辺は適当に）


と、言うことで11月～12月はあちこちに出没しますので、会場でお会いしましょう！

Tech Summit で使った Azure AD B2C + LINE チュートリアル

こんにちは、富士榮です。

Tech Summitが終わりましたね。
私は先に告知させていただいた通り、Azure Active Directory B2C と LINE の連携の話をさせていただきました。

[告知] Tech Summit 2017で Azure AD B2C＋LINE、Yahoo! ID辺りの話をします
http://idmlab.eidentity.jp/2017/10/tech-summit-2017-azure-ad-b2clineyahoo.html


セッションの動画公開は行わない予定ですが、資料は来週以降に公開されるそうなので、その時はまたお知らせしますが、ここではセッション内でお見せしたデモ環境をご自身で作っていただくためのチュートリアルを紹介します。

Azure AD B2C + LINE連携 / チュートリアル
https://github.com/fujie/ts2017

置いてあるのは、
・手順：readme.md
・ポリシーテンプレート：policy_template_base.xml、policy_template_susi.xml
・テスト用アプリケーション：test.php
です。

基本的には手順に従って作業をしてもらえればとりあえずLINEでテストアプリケーションへログインできるようになりますので、一度試してみてください。

Tech Summitの資料と動画が公開されていました

こんにちは、富士榮です。

公式に資料と動画が公開されていました。


当日は詰め込んだところもあり、後半は結構早口になっているので資料と合わせておさらいをしてもらえると幸いです。

「アイデンティティのMVPが語るAzure ADとアプリ連携の勘所」

動画）

資料）
https://docs.com/mstechsummit16/c1cf9d12-5f48-4668-a630-39d708bc026d/sec020-mvp-azure-ad



ちなみに、ハンズオンの動画は公式には公開されていないので、こちらでどうぞ。
http://idmlab.eidentity.jp/2016/11/azure-ad-tech-summit-2016.html

[Azure AD] Tech Summit 2016 ハンズオン動画を公開しました

こんにちは、富士榮です。


先週お知らせしたとおり、去る 11/1 ～ 11/2 は Tech Summit 2016 へ参加してきました。

セッションにご参加いただいた皆様ありがとうございました。
おかげさまで、ブレークアウトセッションは120名部屋で立ち見、ハンズオンラボは早い段階で整理券がなくなり満席、と盛況でした。

ブレークアウトセッションの資料はおいおい公式に公開されると思うので、ここではハンズオンのおさらいをしておきたいと思います。

何しろ、絶対に 45 分では終わらない前提で作ったテキストで、目標としてた前半部分の完了についても初日、二日目を合わせても参加いただいた方の半分くらいの方が終わっていない状態だったので、参加いただいた方も、整理券を入手できず参加頂けなかった方も、存在自体を知らなかった方も、この動画を見ていただきやってみていただければと思います。
（参加いただいた方にはマイクロソフトアカウントと AzurePass が配布されたので、サブスクリプションが有効な間は続きが出来ます。参加頂けなかった方は無償評価版など別途サブスクリプションを入手いただき試してみてください）

と、いうわけで動画です。
（Channel 9 の別館にアップロードしています）

[告知] 11/1～2 はTech SummitでAzure AD三昧

こんにちは、富士榮です。

いよいよ今週に迫ってきたTech Summitですが、春先のde:codeに引き続き登壇の機会を頂きました。

今回は、ブレークアウトセッションに加えて、体験型セッションのハンズオンラボも受け持つことになったので、合計3コマ登場します。（ハンズオンラボはリピートセッションなので同じ内容を2回に分けて実施します）

ようやく資料も固まってきたので、チラ見せをしつつ概要を紹介しておきたいと思います。

◆ブレークアウトセッションではAzure ADのアプリ連携の実情を

この業界で働いていると製品提供ベンダの言う「出来る」と、実際に導入して「使える」には大きな開きがあることが多いのはご存知の通りだと思いますが、じゃ、Azure ADは実際「使えるのか？」というあたりを、エンタープライズの実情とハマりポイントを中心に解説します。

公式サイトでの掲載はこんな感じです。

◆ハンズオンラボでは、Azure ADの新ポータルを使ったアプリ連携設定を

ID管理とかSSOは、ハンズオンだと中々レベル感を合わせるのが難しい＆非常に地味かつ難しいのであまりハンズオンラボのネタとしては向いていないとは思うのですが、そこを無理やりやってしまおうという企画です。対象が1回につき12名ということで何とかなるとは思いますが、最悪途中までで終わっても宿題に出来るのがクラウドの良いところだと割り切って進めていきたいと思います。
（以前.NETラボさんのイベントでFIMとAD FSのハンズオンをやってかなり難航した経験もあり内心はひやひやしていますが）

こちらも公式サイトの掲載はこんな感じです。

◆セッションスケジュール

ということで、セッションスケジュールです。Day1はかなりギリギリな感じもしますが、何とかこなしたいと思います。

Day 1(11/1)

• 12:45-13:30 HOL001 Azure AD新ポータル事始め
• 14:00-14:50 SEC020 アイデンティティの MVP が語る Azure AD とアプリ連携の勘所

Day 2(11/2)

• 13:10-13:55 HOL008 Azure AD新ポータル事始め

と、いうことで来場される方は会場でお会いしましょう。